Атака на Collins Aerospace обернулась блокировкой воздушного пространства над Европой

Группировка Everest призналась в атаке на Collins Aerospace, вызвавшей сбой в аэропортах Европы

Хакерская группировка Everest заявила, что именно она стоит за сентябрьской атакой на компанию Collins Aerospace, из-за которой произошёл масштабный сбой в системах регистрации пассажиров во многих аэропортах Европы. По утверждению злоумышленников, им удалось получить доступ к 50 гигабайтам данных и они потребовали выкуп, однако пока не представили доказательств реальной утечки.

Collins Aerospace, принадлежащая корпорации Raytheon Technologies (RTX), была внесена в список пострадавших на даркнет-платформе Everest. Публикация на портале состояла из пяти частей с названиями вроде «MUSE-INSECURE: Внутри уязвимости Collins Aerospace» и «FTP Access List». Последний раздел, озаглавленный «News for CEO», был адресован руководству компании — предположительно президенту Стивену Тимму или генеральному директору Кристоферу Калио. По наблюдениям экспертов, злоумышленники разместили пароль для доступа к личному сообщению. Запущенный 14 октября таймер с обратным отсчётом указывал сутки до публикации похищенных данных, однако 18 октября киберпреступники продлили срок ещё на восемь дней, что может свидетельствовать о переговорах с компанией.

Сам инцидент произошёл 19 сентября, когда в работе программного обеспечения Arinc cMUSE, обеспечивающего процесс регистрации и посадки пассажиров, произошёл сбой. Первым о проблемах сообщил лондонский аэропорт Хитроу, вскоре аналогичные неполадки зафиксировали Брюссель, Берлин, Дублин и Корк. Из-за неработающих электронных стоек сотрудники были вынуждены перейти на ручную обработку данных. Европейское агентство по кибербезопасности (ENISA) позже подтвердило, что причиной происшествия стал вирус-шифровальщик. По оценкам, только в Хитроу были выведены из строя около тысячи компьютеров, которые требовали ручного восстановления.

В корпорации RTX уточнили, что сбой ограничился зонами регистрации и приёма багажа, однако последствия ощущались в течение нескольких дней. Инцидент привёл к задержкам тысяч рейсов и повлиял на сотни тысяч пассажиров. Хотя Everest утверждает, что похитила десятки гигабайт данных с серверов Collins Aerospace, никаких подтверждений этим словам пока нет — в отличие от других группировок, Everest не публикует образцы похищенных файлов, что делает их заявления труднопроверяемыми.

Случай с Collins Aerospace стал очередным напоминанием о высокой уязвимости авиационной отрасли перед киберугрозами. За последние годы подобные атаки уже неоднократно парализовывали работу оборонных и аэрокосмических компаний. Так, в августе хакеры из группы Play атаковали подрядчика ВМС США — Jamco Aerospace, в январе INC Ransom заявила о компрометации Stark Aerospace, а в конце 2023 года LockBitнарушила работу Boeing. Среди пострадавших также числятся авиакомпании FAI Aviation Group, WestJet, Hawaiian Airlines, Alaska Airlines и Qantas.

Группировка Everest, действующая с 2021 года, известна серией атак на AT&T, BMW, Mailchimp, Allegis Group, Crumbl и Radisson. Согласно данным аналитического сервиса Ransomlooker, с 2023 года Everest опубликовала сведения более чем о 240 жертвах, из которых свыше сотни — за последний год. Эксперты также отмечают, что Everest может быть связана с другой известной хакерской сетью — BlackByte.